Na obzoru se objevují nové hrozby, třeste se! – 4. díl
Tenhle škodlivý kód mě začíná už vážně štvát, nejenže se rafinovaně maskuje, používá sofistikované kryptografické techniky, ale on dokonce kontroluje i prostředí, ve kterém je spouštěn.
A pokud zjistí, že je spuštěn ve virtuálním prostředí, nebo že probíhá jeho skenování, neprovádí žádnou škodlivou činnost. A i v případě, že žádný takový systém nedetekuje, počká si s dešifrováním svého obsahu na vhodnou příležitost, často i několik desítek minut. To je více než dostatečné, protože většina v současně době používaných nástrojů nemůže s analýzou jednoho souboru ztrácet tolik času. A aby toho nebylo málo, tak ještě dalších několik minut čeká, než provede příslušné akce k zajištění svého opakovaného spuštění, někdy až těsně před vypnutím počítače, kdy často dochází i k násilnému ukončování běžících služeb, jindy zase spolu s instalací jiného SW apod.
Zapomeňte na to, že by tento malware někdy zapisoval něco do složky po spuštění nebo do klíče run, takovou akci by bylo snadné detekovat. Malware raději zmodifikuje nějakého často používaného zástupce, který se nachází na ploše a bude čekat, až na něj uživatel sám klikne. Po kliknutí se zavolá loader, který spustí původní program a teprve poté i náš malware, který se může nacházet prakticky kdekoliv na disku. Tím je zajištěno, že škodlivý kód spustí sám uživatel.
Tenhle způsob zajištění trvalého spuštění má několik výhod, jednak je možné nakazit i uživatele, kteří pracují pod neprivilegovanými účty, nemající právo zápisu do některých větví registru a souborového systému, častý to případ zaměstnanců korporací. Dále pak může nakazit i stroje, na kterých běží nějaký ten nástroj na kontrolu integrity, a zůstat neodhalen, neboť ke změně žádného kritického souboru nedojde, a odkazy zpravidla nejsou do této kontroly zahrnuty.
Některé verze malwaru využívají i skriptovacího jazyka typického pro danou platformu, např. ve Windows je s oblibou využíván WSH, takže daný proces se ani nemusí příliš maskovat, protože spousta korporací vbs či js skripty používá a na stanici uživatele je spouští za účelem mapování disků, nastavení policy, zobrazení nejrůznějších hlášení apod. A v rámci kontroly integrity se ověřuje jen interpreter, nikoliv soubor, který mu je předáván jako parametr. Pokud se tedy v seznamu běžících úloh objeví dočasně wscript nebo csript, není to nic divného.
Pokud čekáte nějaký sofistikovaný algoritmus na detekci skenerů škodlivého kódu nebo virtuálního prostředí, budete nejspíš zklamáni, neboť většina tohoto malwaru se spokojí s pouhou detekcí použití myši nebo klávesnice. V zásadě mu jde o to nějakým způsobem ověřit, kde a kým je spouštěn, zda člověkem nebo strojem. To lze snadno zjistit analýzou registrů, driverů, běžících služeb a procesů, použitím klávesnice, myši nebo dotekového displeje.
Jestli si myslíte, že tento malware snadno odhalíte tím, že ho spustíte na nějakém vyhrazeném stroji, a necháte ho tam běžet ne několik hodin, ale dokonce dní, tak jste na omylu. Malware se totiž vůbec neprojeví. Je tomu tak proto, že tenhle malware je přeci jen trochu jiný než to, co tady doposud bylo. Malware analyzuje, co se na vašem zařízení děje, především zda je k dispozici konektivita do internetu, a jak své zařízení používáte.
Autor malwaru vychází z předpokladu, že běžný uživatel, který je cílem tohoto útoku, dané zařízení opravdu používá, a tedy že z internetu stahuje soubory, přehrává videa na Youtube, připojuje se do své poštovní schránky, na Facebook apod. To jsou činnosti, které automatizované nástroje na detekci škodlivého kódu neprovádí, a to je ostatně i důvod proč budou tyto skenery v detekci tohoto malwaru nadále selhávat.
Závěr: Instalujte jen aplikace, které opravdu nezbytně nutně potřebujete a stahujte je jen z důvěryhodných zdrojů.
Štítky: APT, malware, nové hrozby
K článku “Na obzoru se objevují nové hrozby, třeste se! – 4. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.